密评是什么

什么是商用密码应用安全性评估（以下简称“密评”）

密评是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估的活动。

密评是对密码应用安全的评估，立足系统安全、体系安全和动态安全，对包括密码算法、密码协议和密码设备等进行整体安全性评估。

密码应用正确、合规、有效，是网络和信息系统安全的关键所在，因此密评要做到合规、正确和有效。 开展密评，对于规范密码应用，切实保障网络安全，具有不可替代的重要作用。

开展密评，是适应改革要求，提升商用密码科学化、规范化管理水平的关键举措。

通过开展密评，能够更好发挥密码在保障网络和信息系统安全中的核心支撑作用。

通过开展密评，确保新技术、新应用的密码安全，是推动科技创新的有力支撑。

什么是0054

我们通常说的0054是国密标准《GM/T 0054-2018 信息系统密码应用基本要求》的标准发布顺序号，该标准由国家密码管理局于2018年2月8日发布并实施。

0054标准中主要包括总体要求、密码功能要求、密码技术应用要求、密钥管理和安全管理。

其中总体要求包括：密码算法、密码技术、密码产品和密码服务；

密码功能要求包括：机密性、完整性、真实性和不可否认性；

密码技术应用要求包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全；

密钥管理包括密钥的生成、存储、分发、导入、导出、使用、备份、恢复、归档与销毁等环节进行管理和策略制定的全过程；

安全管理包括制度、人员、实施和应用。

其中，密码技术应用要求、密钥管理和安全管理针对等级保护不同级别的信息系统分别有不同的要求。

密评与0054

密评主要按照《GM/T 0054-2018信息系统密码应用基本要求》等标准，对信息系统的规划、建设、运行三个阶段的密码应用情况进行安全性评估。

信息系统规划阶段：组织专家或者委托具有相关资质的测评机构评估密码应用是否是依据商用密码技术标准，制定的商用密码应用建设方案。

信息系统建设阶段：委托具有相关资质的测评机构进行商用密码应用安全性评估，评估结果作为项目建设验收的必备材料，评估通过后，方可投入运行。

信息系统运行阶段：委托具有相关资质的测评机构定期开展商用密码应用安全性评估，评估未通过，网络运营者应当限期整改并重新组织评估。其中，关键信息基础设施、网络安全等级保护第三级及以上信息系统每年至少评估一次。

密评主要是依据0054标准，对信息系统的规划、建设、运行三个阶段的密码应用情况进行安全性评估。

所以说密评是信息系统要达到的目标，而0054标准是信息系统达到目标所依赖的准则。

密评的基本原则是要做到合规性、正确性和有效性。

合规性：

密码算法、密码协议、密钥管理、密码产品和服务使用合规。

按照将要发布的《密码法》、《商用密码管理条例》等密码使用要求，使用符合国家密码法规和标准规定的商用密码算法，使用经过国家密码管理局审批的密码产品或服务。

按照《信息系统密码应用基本要求》等标准，进行相应密码应用建设方案设计。

正确性：

密码算法、密码协议、密钥管理、密码产品和服务使用正确。

系统中采用的标准密码算法、协议和密钥管理机制按照密码国家和行业标准进行正确设计和实现。

自定义密码协议、密钥管理机制的设计和实现正确，符合相关标准要求。

密码保障系统建设或改造过程中密码产品和服务的部署和应用正确。

有效性：

信息系统中采用的密码协议、密钥管理系统、密码应用子系统和密码安全防护机制不仅设计合理，在系统运行过程中能够发挥密码效用，保障信息的机密性、完整性、真实性、不可否认性。

信息系统要做好密评，就必须对于0054标准有个很好的理解和应用。

0054标准属于密码行标，现在正在升国标修订中，虽然部分内容作了修订和调整，但是核心内容是不变的，因为我们还是重点对于现有发布的0054标准进行解读。

从技术要求来看，密评的服务对象是信息系统，服务内容是系统密码改造（0054-7 密码技术应用要求）。服务内容的实现依赖于合规的密码组件（0054-5 总体要求），服务内容中要解决的问题使用了基本的密码功能（0054-6 密码功能要求），服务内容中的安全核心为密钥管理（0054-8 密钥管理）。

密评是密码应用情况的安全性评估，因为密评的核心是密码，而密码的核心是密钥，所以密钥管理的安全性是密评中核心的核心。

哪些系统要做密评

《密码法》（征求意见稿）要求“国家对关键信息基础设施的密码应用安全性进行分类分级评估，按照国家安全审查的要求对影响或者可能影响国家安全的密码产品、密码相关服务和密码保障系统进行安全审查”。《信息安全等级保护商用密码管理办法》规定：“国家密码管理局和省、自治区、直辖市密码管理机构对第三级及以上信息系统使用商用密码的情况进行检查”。在国家密码管理局印发的《信息安全等级保护商用密码管理办法实施意见》中规定“第三级及以上信息系统的商用密码应用系统，应当通过国家密码管理部门指定测评机构的密码测评后方可投入运行”。这些制度明确了信息安全等级保护第三级及以上信息系统的商用密码应用和测评要求。此外，在新版《网络安全等级保护条例》（征求意见稿）明确要求在规划、建设、运行阶段开展密码应用安全性评估。

密评的对象

《商用密码应用安全性评估管理办法（试行）》第三条、第二十条：涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位（以下简称责任单位） 应当健全密码保障体系，实施商用密码应用安全性评估。

重要领域网络和信息系统包括：

• 基础信息网络

 

• 涉及国计民生和基础信息资源的重要信息系统

 

• 重要工业控制系统

 

• 面向社会服务的政务信息系统

 

• 关键信息基础设施

 

• 网络安全等级保护第三级及以上信息系统

密评的周期

《商用密码应用安全性评估管理办法（试行）》第二章第十条：关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评估一次。

政策要求

 密码应用基本要求

安全管理 制度、人员、实施、应急要求	物理和环境 密码技术实现物理访问控制、监控记录完整性保护等要求	网络和通信 密码技术实现网络传输过程的通信双方真实性、数据机密性、完整性保护等要求
密钥管理 密钥全生命周期管理，包括密码生成、密钥存储、使用、分发、导入导出、备份恢复、归档	应用和数据 密码技术实现身份真实性，数据传输和存储的机密性、完整性、行为不可抵赖性等要求	设备和计算 密码技术实现设备用户身份真实性、远程鉴别信息机密性、重要文件完整性保护等要求

服务内容

密评工作主要参照《GM/T 0054-2018信息系统密码应用基本要求》等标准，对信息系统的规划、建设、 运行三个阶段的密码应用情况进行安全性评估。密评的责任主体包括网络与信息系统责任单位、密码测评机构、密码管理部门。在密码测评全流程中， 沃通为需要进行密评工作的责任单位（政企客户）提供全流程服务，保障密评工作的顺利开展。政企客户与沃通协同共担，共同完成密评工作。

今天的文章密评是什么分享到此就结束了，感谢您的阅读，如果确实帮到您，您可以动动手指转发给其他人。